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PROCEDE DE SIGNATURE DF. T ISTE RT A PPLIC ATTON ATT VOTR 
ELECTRONIQUE. 

5 La presente invention conceme le domaine general de la securite des services 
accessible par un reseau de transmission de donnees numeriques, et plus 
precisement le domaine de la signature electronique. 

Elle s'applique notamment, mais non exclusivement au vote electronique ou 
1 0 encore a la petition electronique. 

La signature electronique d'un message met en ceuvre un mecanisme relevant 
de la cryptographie dite a cle publique : le signataire qui possede une cle secrete 
ou privee et une cle publique associ6e, peut produire une signature de message a 
1 5 r aide de la cl6 secrete. Pour verifier la signature, il suffit de disposer de la cle 
publique. 

Dans certaines applications comme le vote electronique, le signataire doit' 
pouvoir rester anonyme. A cet effet, on a mis au point ce que Ton appelle la?., 
signature electronique anonyme permettant a l'aide d'une cle publique de : 
determiner si le signataire d'un message possede certains droits (droit de signer \ 
le message, droit de posseder la cle secrete ayant ete utilisee pour signer le ; 
message, etc.), tout en preservant l'anonymat du signataire. En outre, dans les 
applications de vote ou de petition electronique, chaque personne autorisee ne 
25 doit pouvoir signer qu'une seule fois. 

Parmi les signatures anonymes, il existe egalement ce que l'on appelle la 
signature aveugle permettant a une personne d'obtenir la signature d'un 
message d'une autre entite, sans que celle-ci ait a connaitre le contenu du 

30 message et puisse etablir plus tard le lien entre la signature et l'identite du 
signataire. Cette solution de signature aveugle necessite done 1' intervention 
d'une entite intermediaire qui produit les signatures. Dans les applications 
comme le vote ou la petition electronique, cette solution fait intervenir une 
autorite habilitee qui signe le vote de chaque electeur ou la petition pour chaque 

35 petitionnaire. 

On a egalement propos6 le concept de signature de groupe qui permet a chaque 
membre d'un groupe de produire une signature telle qu'un verificateur 



20 
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possedant une cle publique adequate pent verifier que la signature a ete emise 
par un merabre du groupe sans pouvoir determiner Fidentite du signataire. 
Ce concept est par exemple decrit dans le document : 

[1] "A Practical and Provably Secure Coalition-Resistant Group Signature 
5 Scheme" de G. Ateniese, J Camenisch, M. Joye et G, Tsudik, in M. Bellare, 
Editor, Advance in Cryptology - CRYPTO 2000, vol. 1880 of LNCS, p. 255- 
270, Springer- Verlag 2000. 

Cependant, dans ce concept, une autorite de confiance peut lever a tout moment 
cet anonymat et determiner Fidentite d'une personne du groupe ayant emis une 

10 signature. En outre, ce type de signature est dit "non reliable", c'est-a-dire qu'il 
ne permet pas de determiner si oui ou non deux signatures ont ete emises par la 
meme personne sans lever F anonymat de la signature. Les signatures de groupe 
sont utilisees dans de nombreuses applications, telles que la vente aux encheres 
electronique, la monnaie electronique ou encore le vote electronique. La 

15 signature de groupe ne convient pas parfaitement a cette derniere application 
puisqu'elle autorise une autorite de confiance a acceder a Fidentite d'un 
signataire, et ne permet pas de relier deux signatures emises par une mSme 
personne sans determiner Fidentite du signataire. En outre, le document [1] ne 
prevoit pas de processus de revocation d'un membre du groupe. 

20 

Pour remedier a ce dernier inconvenient, le document [2] "Efficient Revocation 
of Anonymous Group membership Certificates and Anonymous Credentials" de 
J. Camenisch et A. Lysysanskaya, publie par Cryptologie ePrint Archive IACR. 
2002, prevoit d'ajouter a ce concept un processus de revocation (ce document 
25 sera aussi publie par M. Jung, Editor CRYPTO 2002, Springer-Verlag 2002). 
Toutefois, cette solution n'apporte pas de solution aux problemes de la 
preservation de Fanonymat du signataire et de "reliabilite" de deux signatures. 

Dans une application de vote electronique, il est en outre necessaire pour 
30 assurer une securite se rapprochant au maximum du vote traditiomiel, de 
garantir les proprietes suivantes. 

Nul ne doit etre capable de connaitre meme partiellement les resultats du scrutin 
avant sa cloture. Tout le monde doit pouvoir se convaincre de la vaiidite du 
resultat final du scrutin. Enfin, une autorite habilitee doit etre capable de retirer 
35 ou de revoquer le droit de vote d'une personne. 

Qu'il s'agisse du vote hors ligne, c'est-a-dire de Futilisation d'ime machine a 
voter electronique installee dans un bureau de vote, ou du vote en ligne, c'est-a- 
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dire a distance, via le reseau Internet par exemple, les systemes proposes 
actuellement, utilisant une signature de groupe telle que decrite dans le 
document [1] et completee dans le document [2], ne remplissent pas ces 
conditions, mis a part la revocation du droit de signature. 

5 

Par ailleurs, 1' application du concept de signature aveugle au vote electronique 
est une solution dont la mise en ceuvre est lourde, car elle oblige l'electeur a se 
connecter plusieurs fois a chaque Election. En outre, si le scrutin se passe mal, 
on ne peut pas determiner qui en est le responsable : un electeur ou 
1 0 Porganisateur du scrutin. 

On a egalement propose, notamment dans le document [3] "Untraceable 
Electronic Mail Return Addresses and Digital Pseudonym" de D. Chaum, ACM 
1981, le concept de reseaux melangeurs, chaque m61angeur 6tant une fonction 

15 produisant une liste de nombres decbifrres a partir d'une liste de nombres 
chifrres, tout en cachant la correspondance entre les nombres chiffres et les 
nombres dechifrres. Appliquee au vote electronique, cette technique presented 
P inconvenient majeur de ne pas permettre de verifier la validite d'un vote sans n 
compromettre le secret de celui-ci. > 

20 Dans le document [4] "A Secure and Optimal Efficient Multi-Authority ; 
Election Scheme", de Cramer, Gennaro, et Schoenmakers, Eurocrypt'97, LNCS * 

- Springer-Verlag, il est decrit ce que Ton appelle le chiffrement homomorphe- 
permettant d'effectuer des calculs de base sur des nombres chifrh§s. Les 
solutions basees sur ce proced6 ne sont cependant pas applicables aux scrutins 

25 impliquant un grand nombre d'electeurs. 

La presente invention a pour but de supprimer cet inconvenient. Cet objectif est 
atteint par la prevision d'un proc6de de signatuie de liste comprenant au moins : 

30 - une phase d'organisation consistent pour une autorite de confiance a definir 
des parametres de mise en ceuvre d'une signature electronique anonyme, 
dont une cle privee et une cl6 publique correspondante, 

- une phase d'enregistrenient de personnes dans une liste de membres autorises 
a generer une signamre electronique propre aux membres de la liste, au cours 

35 de laquelle chaque personne a enregistrer calcule une cle privee a Paide de 
parametres fournis par 1'autorite de confiance et de parametres choisis 
aleatoirement par la personne a enregistrer, et 1'autorite de confiance delivre 
a chaque personne a enregistrer un certificat de membre de la liste, 
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- une phase de signature au cours de laquelle un membre de la liste genere et 
emet une signature propre aux membres de la liste, cette signature etant 
construite de maniere a contenir une preuve que le membre de la liste ayant 
emis la signature, connait un certificat de membre de la liste, et 
5 - une phase de verification de la signature emise comprenant des etapes 
d'application d'un algorithme predefini pour mettre en evidence la preuve 
que la signature a ete emise par une personne en possession d'un certificat de 
membre de la liste. 

10 Selon P invention, ce procede comprend en outre une phase de definition d'une 
sequence consistant pour l'autorite de confiance a generer un numero de 
sequence a utiliser dans la phase de signature, une signature generee durant la 
phase de signature comprenant un element de signature qui est commun a toutes 
les signatures emises par un meme membre de la liste avec un meme numero de 

1 5 sequence et qui contient une preuve que le numero de sequence a ete utilise 
pour generer la signature, la phase de verification comprenant en outre une 
etape de verification de la preuve que le numero de sequence a ete utilise pour 
generer la signature. 

20 Selon un mode de realisation de Pinvention,, la phase d'organisation comprend 
la definition d'un parametre commun dependant de la composition de la liste, la 
phase d'enregistrement d'une personne dans la liste comprenant la definition 
d'un parametre propre a la personne a enregistrer qui est calcule en fonction du 
parametre dependant de la composition de la liste et qui est integr6 au certificat 

25 remis a la personne, la phase d'enregistrement comprenant une etape de mise a 
jour du parametre commun dependant de la composition de la liste, le procede 
comprenant en outre une phase de revocation pour retirer un membre de la liste, 
consistant a modifier le parametre commun dependant de la composition de la 
liste, pour tenir compte du retrait du membre de la liste, et une phase de mise a 

30 jour des certificats des membres de la liste pour tenir compte de modifications 
de la composition de la liste. 

Selon un mode de realisation de 1* invention, une signature propre a un membre 
de la liste et possedant le certificat [A ( , c{] comprend des parametres Ti, T 2 , T 3 
35 tels que : 

T] = Ajb^ (mod n), 
T 2 = g 03 (mod n), 
T 3 = ge i h £D (mod n), 
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od 6tant un nombre choisi aleatoirement lors de la phase de signature, et b, g, h 
et n etant des parametres generaux de mise en oeuvre de la signature de groupe, 
tels que les parametres b, g et h ne peuvent pas se deduire les uns des autres par 
des fonctions d' elevation de puissance entiere modulo n, de sorte que le nombre 
5 A b et done 1'identite du membre de la liste possedant le certificat [Aj, ej ne peut 
pas se d6duire d'une signature emise par le membre. 

De preference, le numero d'une sequence utilise pour generer une signature de 
liste est calculi en fonction d'une date de debut de sequence. 

10 

Avantageusement, la fonction de calcul du num6ro d'une sequence est de la 
forme : 

F(d) = (H(d)) 2 (modn) 
dans laquelle H est une fonction de hachage resistante aux collisions, d est la 
1 5 date de debut de la sequence, et n est un param&re gen6ral de mise en ceuvre de 
la signature de groupe. 

Selon un mode de realisation de l'invention, une signature <§mise par un 
membre de la liste contient un parametre qui est calcule en fonction du num6ro 
20 de sequence et de la cl6 privee du membre signataire. * 

'j 

Selon un mode de realisation de Tinvention, le paramdtre T 4 d'une signature ~ 
emise par \m membre de la liste et dependant du numero de sequence m et de la : 
cle privee x { du membre signataire est obtenu par la formule suivante : 
25 T 4 = m Xi (modn) 

n 6tant un parametre g6n6ral de mise en oeuvre de la signature de groupe, et la 
signature comprenant la preuve que le parametre T 4 a ete calcule avec la cle 
privee X] du membre de la liste qui a 6mis la signature. 

30 L'invention concerne egalement un precede de vote electronique comprenant 
une phase d* organisation des elections, au cours de laquelle une autorite 
organisatrice precede a la generation de parametres necessaires a xm scrutin, et 
attribue a des scrutateurs des cles leur permettant de dechiffrer et verifier des 
bulletins de vote, une phase d' attribution d'un droit de signature a chacun des 

35 electeurs, une phase de vote au cours de laquelle les 61ecteurs signent un 
bulletin de vote, et une phase de depouillement au cours de laquelle les 
scrutateurs verifient les bulletins de vote, et calculent le resultat du scrutin en 
fonction du contenu des bulletins de vote dechiflfres et valides. 
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Selon F invention, ce procede met en reuvre un precede de signature de liste tel 
que defini ci-avant, pour signer les bulletins de vote, chaque electeur etant 
enregistre contme raembre d'une liste, et un num6ro de sequence etant genere 
pour le scrutin, pour detecter si un na^me electeur a erais on non plusieurs 
5 bulletins de vote pour le scrutin. 

Selon un mode de realisation de Finvention, la phase d'organisation comprend 
la remise a chaque scrutateur d'une cle publique et d'une cle privee, les 
bulletins de vote etant chiffres a Faide d'une cle publique obtenue par le produit 
10 des cl6s publiques respectives de tous les scrutateurs, et la cle privee de 
dechiffrement correspondante etant obtenue en calculant la somme de cles 
privees respectives de tous les scrutateurs, 

Avantageusement le chiffrement des bulletins de vote est effectue a Faide d'un 
1 5 algorithme de chif&ement probabiliste. 

Selon un mode de realisation de Finvention, les bulletins de vote 6mis par les 
electeurs sont stockes dans \me base de donnees publique, le resultat de la 
verification et du depouillement de chaque bulletin de vote etant stocke dans la 
20 base de donnees en association avec le bulletin de vote, et la cle privee de 
dechiffrement des bulletins de vote etant publiee. 

Un mode de realisation prefere de Tinvention sera decrit ci-apres, a titre 
d'exemple non limitatif, avec reference aux dessins annexes dans lesquels : 

25 

La figure 1 repr^sente un systeme permettant la mise en oeuvre des 
precedes de signature de liste et de vote electronique, selon 
Finvention ; 

Les figures 2 a 8 illustrent sous la forme d'organigrammes les 
30 differentes procedures qui sont executees conformement aux 

precedes de signature de liste et de vote electronique, selon 
Finvention. 

La presente invention propose un procede de signature de liste dans lequel 
toutes les personnes autorisees, c'est-a-dire appartenant a la liste, peuvent 
35 produire une signature qui est anonyme, et n'importe qui est capable de verifier 
la validite de la signature sans avoir acces a Fidentite du membre de la liste qui 
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a sign6. 

Un tel proced£ peut etre mis en oeuvre dans le systeme repr6sente sur la figure 
L Ce systeme comprend des terminaux 2 mis a la disposition des utilisateurs et 
5 connectes a un r<§seau de transmission 5 de donnees numeriques, tel que le 
r6seau Internet Chaque terminal 2 est avantageusement connecte a un lecteur 8 
de carte h puce 7. Par le reseau 5, les utilisateurs peuvent se connecter a un 
serveur 6 donnant acces a des informations par exemple stockees dans une base 
de donnees 4. Ce systeme comprend 6galement un calculateur 1 d'une autorite 
10 de confiance qui d61ivre notamment les cartes a puces 7 aux utilisateurs. 

Le procede de signature de liste selon ^invention reprend dans le procede de 
signature de groupe decrit dans le document reference [1], les procedures 
suivantes : 

15 

- line procedure d'organisation d'une d'un groupe de signataires, qui consiste a 
mettre en place les differents parametres et cles publiques necessaires, 

- une procedure d'enregistrement dans laquelle une personne a inscrire dans 1q 
groupe repoit d'une autorite de confiance un droit de signature, c'est-a-dire: 

20 une cle privee et un certificat autorises, r. 

- une procedure de signature proprement dite au cours de laquelle une 
personne possedant un droit de signature signe im message, et 

- une procedure de verification consistant a appliquer un algorithme de 
verification a une signature pour verifier que la signature a et£ produite par 

25 une personne possedant un droit de signature. 

L'invention prevoit en outre une disposition pour garantir l'anonymat d'un 
signataire, m6me vis-a-vis d'une autorite de confiance, ainsi qu'une procedure 
d 5 organisation d'une sequence consistant a definir un numero de sequence a 
30 utiliser pour generer des signatures de liste, la verification d'une signature 
comprenant en outre une etape de verification que la signature est unique pour 
un numero de sequence donne. 

Le procede selon Tinvention peut egalement comporter une procedure de 
35 revocation, telle que definie dans le document reference [2]. A Faide de cette 
procedure de revocation, une autorite de confiance peut retirer a un membre de 
la liste, les droits de signature qu'elle lui a precedemment attribues, a partir de 
Tidentite du membre. La mise en place de cette possibilite de revocation 
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implique I' execution par les membres de la liste d'une procedure de mise a jour 
au cours de laquelle les membres de la liste mettent a jour leurs certificats pour 
prendre en compte les modifications (ajout ou retraits) effectu6es dans la liste 
des personnes autorisees a signer. 

La figure 2 illustre les differentes etapes de la procedure d 5 organisation 10 
executee sur le calculateur 1 de Fautorite de confiance. 

Conformement au document reference [1], cette procedure consiste a choisir 1 1 
des nombres entiers suivants : 

- e>l,k,l p , 

- X\ 9 Yi, 72 qui sont des longueurs de nombres entiers en nombres de bits, 
avec : 

^2>41 p (1) 
15 A,,>e(A, 2 + k) + 2 (2) 

y 2 >^i+2 (3) 

Yi>e(y 2 + k) + 2 (4) 
et a definir les ensembles de nombres entiers suivants : 

A = ]2 Xl _2 X2 , 2 Xl +2 X2 [ et 
20 r = ]2™-2* 2 T1 + 2 W [. 

Cette procedure consiste egalement a choisir une fonction de hachage resistante 
aux collisions H telle qu'une sequence binaire de longueur quelconque notee 
{0 ? 1 }* est transformee en une sequence binaire de longueur k notee {0, 1 }\ 

25 

Ensuite, le calculateur 1 de Fautorite de confiance genere aleatoiremenL a 
Fetape 12, des nombres premiers p' et q' de taille l p , tels que p = 2p* + 1 et q = 
2q' + 1 sont aussi des nombres premiers. Ensuite, il calcule a Fetape 13 le 
module n = pq et genere aleatoirement a Fetape 14 des nombres entiers a, ao, b, 
30 g et h dans Fensemble QR(n) des residus quadratiques de n, oest-a-dire 
Fensemble des nombres entiers y tels y = x 2 (mod n), x etant un nombre entier. 
On considere alors que la cle publique PK de Fautorite de confiance est 
constitute de la sequence de nombres entiers (n, a, a 0 , b, g ? h) et que la cle 
privee de celle-ci est constitute de la sequence de nombres entiers (p 5 , q'). 



35 



Pour etre enregistre par Fautorite de confiance, un utilisateur souhaitant devenir 
membre de la liste execute sur son terminal 2 la procedure 20 illustree sur la 
figure 3. L'execution de cette procedure engage un dialogue avec le calculateur 
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1 de Fautorite de confiance qui execute alors une procedure 20 \ La procedure 
20 comprend tout d'abord une etape 21 de generation al6atoire de nombres 
entiers % et 7 , respectivement dans les intervalles ]0, 2 Xl [ et ]0, n 2 [. A partir de 

ces nombres entiers, on calcule 22 un nombre entier C x tel que : 
5 q=g^h 7 (modn) (5) 

A T etape 23, on construit la preuve U de la connaissance de deux nombres a et 
P (c'est-a-dire % et f ) tels que d = g a h p (modn). 

Une telle preuve est par exemple constitute en choisissant aleatoirement deux 
1 0 nombres entiers ri et r 2 dans Fensemble des nombres binaires signes a e(21 p + k) 
bits, note ±{0,1} €(21 p +k) , et en calculant les nombres suivants : 

di = g^ 12 (mod n> (6) 

c^iycgiihiidHdo, (7) 

dans laquelle le symbole || repr6sente Foperateur de concatenation, 
15 S! = ri - ca, (8) 

s 2 = r 2 -cp, (9) 
Si et s 2 etant des nombres entiers relatifs. 
La preuve U est alors 6gale a (c, Si, s 2 , CI). 

20 Le nombre d et la preuve U sont ensuite envoySs a Fautorite de confiance qui 
verifie a F etape 2V la preuve U et que d se trouve dans Fensemble QR(n) des 
residus quadratiques de n. 

Dans F exemple precedent, la verification de la preuve U consiste a calculer : 
t! = CjgV(modn) , et (10) 
25 c^iJCgllhllQHtO. (11) 

La preuve est verifiee si c* = c et si S\ et s 2 appartiennent a Fensemble 

±{0? 1} e(21 p+ kHi 

30 Si tel est le cas, le calculateur 1 de Fautorite de confiance g6nere aleatoirement 
22' deux nombres entiers a iy ft dans Fintervaile ]0, 2 X2 [ y et envoie ces nombres 

au terminal 2 de Futilisateur. Dans la procedure 20, le terminal de Futilisateur 
calcule alors a F etape 24 les nombres entiers Xj et d en appliquant les formules 
suivantes : 

35 x i =2 Xl +(a i x i +p i (mod2 X2 )), et (12) 

C2 = a X| (modn). (13) 
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Puis, il construit a l'etape 25 les preuves suivantes (par exemple selon le meme 
principe que la preuve U) : 

5 - la preuve V de connaftre un nombre a appartenant a l'ensemble A tel que : 
C 2 = a a (mod n) (14) 

- la preuve W de connaitre trois nombres p\ y, 8 tels que p e ]- 2 X \ 2 Xl [ et 

C 2 /a X2 = a p et (15) 

10 C?g*=/(g 2 V (16) 



C 2 et les preuves V et W sont ensuite envoyes au calculateur 1 de Pautorite de 
confiance qui verifie 23' les preuves V et W, et que C 2 appartient a l'ensemble 
QR(n). Si tel est le cas, il genere 24' aleatoirement un nombre premier e t 
1 5 appartenant a l'ensemble T et applique la formule suivante : 

l/e- 

Ai=(C 2 a 0 ) Xmodn) (17) 

et renvoie a Putilisateur les entiers A[ et e L consideres comme un certificat 
[A 4 , e{\ d'appartenance de Putilisateur a la liste. 

Le calculateur 1 cree 26' alors une nouvelle entree dans une table des membres 
20 de la liste, par exemple dans la base de donnees 4, dans laquelle il memorise le 
certificat [A*, ej en vue de modifications de la liste (par exemple revocations de 
membres), et de preference les messages echanges entre Pautorite de confiance 
et Putilisateur durant cette procedure d'enregistrement de Putilisateur. 

25 Par ailleurs, Putilisateur peut controler 26 P authenticity du certificat repu en 
verifiant que P equation suivante est satisfaite : 

a Xi a 0 = Af J (modn) (1 8) 



A la fin de cette procedure d'enregistrement 20, Putilisateur dispose done d'une 
30 cle privee x f et d'un certificat [A*, ej de membre de la liste, qui sont par 
exemple memorises dans une carte a puce 7. 

A Paide d'un tel certificat, Putilisateur peut generer une signature d'un message 
M appartenant a P ensemble {0, 1}*. 

A cet effet, Pautorite de confiance publie selon Pinvention un numero m de 
35 sequence, choisi aleatoirement dans l'ensemble QR(n). Ce numero devra etre 
utilise par les membres de la liste pour signer un message durant une sequence 
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donnee. Les num6ros respectifs de sequences differentes ne doivent pas pouvoir 
etre lies. En particulier, il doit etre impossible de calculer un logarithine discret 
d'un numero de sequence donne, par rapport a la base d'un autre numero de 
sequence, c'est-il-dire qu'il ne doit pas Stre possible en pratique de calculer des 
5 nombres entiers x et y tels que : m x = m ,y (mod n), m et m' etant des numeros 
de sequence. 

Ce numero m de sequence peut etre calcule en fonction de la date de debut de la 
sequence : m = F(date). Cette fonction F est par exemple choisie 6gale a : 
1 0 F(d) = QT (d)) 2 (mod n) (19) 

dans laquelle IT une fonction de hachage resistante aux collisions, telle qu'une 
sequence binaire de longueur quelconque notee {0, 1}* est transformee en une 
sequence binaire de longueur 21 p notee {0, l} 2ip . II est done facile de verifier la 
validite du num6ro de sequence en appliquant la formule (19). 

15 

La procedure de signature d'un message est con9ue pour permettre notamment 
a un utilisateur de demontrer qu'il connaft un certificat de membre et une cle 
, privee de membre et qu'il utilise le bon numero de sequence. ; 
Pour signer un message M, un membre de la liste doit ex£cuter, par exemple sur; 
20 sa carte a puce 7 connectee a un terminal 2 et memorisant son certificat [A i? ej] t 
et sa cle privee x i? une procedure 30 de signature, illustr£e sur la figure 4. Certe) 
procedure comprend tout d'abord une etape 31 de generation aleatoire d'un 
nombre <o appartenant a Fensemble {0, 1 } 2I p. 

Elle comprend en outre une etape 32 consistant a calculer les nombres suivants 



25 a partir de co : 

T^Aib^modn), (20) 

T 2 = g <0 (modn) > (21) 

T 3 = g% G, (modn). (22) 

30 Conformement h F invention, on calcule egalement le nombre suivant : 

T 4 = m Xi ( mo< in) (23) 



A F etape 33 suivante, on genere d'une maniere al6atoire les nombres r x dans 
Fensemble des nombres binaires signes a s(y 2 +k) bits, note ±{0, l} e(Y 2 +k) , r 2 dans 
35 Fensemble ±{0, l}^ 2+k \ r 3 dans Fensemble ±{0, l}^i +21 P +k+1 > e t r 4 dan? 
Fensemble ±{0, l} e ( 2, p +k >. Puis, a F etape 34, on calcule les grandeurs suivantes : 
di-Ti^/CaV^Cmodn) (24) 
d 2 = T 2 r Vg*( mo dn) (25) 
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d 3 = g r4 (modn) (26) 
d 4 = g ri h r4 (modn) (27) 
Conformement a l'invention, on calcule egalement le nombre suivant : 

d 5 = m r2 ( mo dn) (28) 

5 

Puis, a l'etape 35, on calcule les nombres suivants : 

c = J^Cm||b||g||liyao||a||T 1 BT2|lT3[|T4|ld l fld 2 [[d3ld 4 0d5UM), (29) 
dans laquelle || represente 1 'operation de concatenation, 

10 s,-r,-c(ei-2 T »), (30) 

s 2 = r 2 -c(x i -2 A ' 1 ), (31) 
s 3 =r 3 -ceiG), (32) 
s 4 = r 2 - ca>, (33) 
Si, s 2 , s 3 , S4 etant des nombres entiers relatifs. 

15 

La signature est enfin constitute de l'ensemble de nombres suivants : 

(c, s,, s 2 , s 3 , s 4 , T l5 T 2 , T 3 , T 4 ). (34) 
qui est par exemple 6mise par le reseau 5. 

20 La verification d'une signature d'un message M se deroule en executant la 
proc6dure 40 illustr6e surla figure 5. Cette procedure comprend tout d'abord k 
l'etape 41, le calcul des nombres suivants : 

t, -aglf""* /(a 82 " 02 b S3 )(modn) (35) 

t 2 =T 2 $1 ^ 2 /g S3 (modn) (36) 
25 t 3 =T 2 c g S4 (modn) (37) 

Y, 

t4=T 3 C g S ' _C2 b s "(modn) (38) 



Selon l'invention, elle comprend egalement le calcul des nombres suivants : 
t 5 =T4m S2_c (modn) (39) 
30 c'=/f(m||b||g||h||a 0 ||a||T 1 ||T 2 ||T 3 ||T 4 ||t 1 ||t 2 ||t3||t 4 ||t 5 ||M) (40) 

La signature est authentique si les conditions suivantes sont verifiees a l'etape 
42: 



C =c 



(41) 
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8i e±{0 3 l} £ to +k ^ (42) 
s 2 e ±{0, (43) 
s 3 e±{0 3 l} € ^ +21 P +k+1 > +1 , (44) 
s 4 e±{0,l} e(2I P +k)+1 . (45) 
5 Si ces conditions ne sont pas verifiees, la signature n'est pas valable (etape 45). 

En outre, en accedant a toutes les signatures qui ont ete produites pendant une 
sequence donn6e, par exemple dans la base de donnees 4, on peut verifier 
facilement a I'etape 43, k Faide du parametre T 4 , si un membre de la liste a 
10 signe plusieurs fois : toutes les signatures emises par un membre de la liste 
comprennent un parametre T 4 ayant la meme valeur pour un numero de 
sequence donne. 

II est en outre a noter qu'un membre ne peut pas tricher en utilisant une autre 
valeur car T 4 est fortement li6 a TV En effet, la formule de calcul de Ti peut 
1 5 aussi 6tre 6crite de la maniere suivante : 

If =a 0 a Xi b coei (modn) (46) 

Si T 4 se trouve deja dans P ensemble des signatures emises pour un numero de v : 
sequence donne, on en deduit que la signature a deja ete emise par un membre 
20 de la liste pour ce numero de sequence (6tape 46). ' 

Pour inclure une possibility de revocation d'un membre de la liste, le procede 
qui vient d'Stre decrit peut etre modifie de la maniere suivante. 

25 La procedure d'organisation 10 de la liste comprend en outre a l'etape 14, le 
clioix aleatoire d'un nombre u appartenant a V ensemble QR(n), et la definition 
de deux ensembles E add et E de i qui sont initialement vides. 

La cle publique PK de Pautorite de confiance est alors constitute de la sequence 
de nombres entiers (n, a, ao ? b, g, h, u) et des ensembles E add et E de i< 



30 



35 



Durant la procedure d'enregistrement 20, 20', le calculates: 1 de l'autorite de 
confiance attribue a l'etape 25' le parametre Ui au nouveau membre Ui de la 
liste, ce parametre etant tel que u t = u, et met a jour la valeur du parametre u en 
remplagant cette valeur par u q . 

Le certdficat du nouveau membre regroupe alors les entiers A i? e, et u i? ce 
certificat etant memorise a l'etape 26' pour des modifications futures et 
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transmis au nouveau membre. 

L'autorite de confiance iiitroduit egalement le nombre e* attribue au nouveau 
membre dans 1' ensemble E add > 



5 A la reception de son certificat, le nouveau membre verifie en outre que : 

Ui ei = u (modn) (47) 



Les autres membres Uj de la liste doivent alors executer une procedure de mise 
a jour pour prendre en compte Parrivee du nouveau membre et done la 
10 modification du parametre de liste u. Cette procedure consiste a recalculer leur 
parametre uj de la maniere suivante : 

Uj—uj 61 (modn) (48) 

De cette maniere, la relation (47) est toujours verifiee pour tous les couples (uj, 
1 5 ej) de tous les membres de la liste. 

La procedure de revocation d'un membre U k de la liste dont le certificat est (A k , 
ek, ^k) consiste pour Pautorite de confiance a modifier le parametre u de la 
maniere suivante : 

20 u = u 1A * (modn) (49) 

et a introduire le parametre e k dans F ensemble E del . 

En outre, chaque membre non revoque Uj de la liste doit prendre en compte 
cette revocation (changement du parametre u) en recalculant son parametre uj 
25 de la maniere suivante : 



uj u (modn) (50) 



a et b etant tels que aej + be k = 1 

Pour determiner a et b, il suffit d'appliquer Talgorithme d'Euclide etendu 
30 consistent a effectuer une serie de divisions euclidiennes. 



II est a noter que le membre revoque (possedant e k ) ne peut pas determiner a et 
b a Paide de la fonnule (50) qui devient e k (a + b) = 1 ? et done recalculer le 
parametre u k . 

35 

Durant la procedure 30 de signature par un membre de la Iiste ? il faut en outre a 
Fetape 31 choisir aleatoirement des nombres Wi, w 2 et w 3 de longueur binaire 
egale a 21 p , e'est-a-dire appartenant a Pensemble {0, 1} 2I p, et calculer a Tetape 
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32 les nombres suivants : 

T 5 =g ei h Wl (modn) (51) 

T 6 =Uih W2 (modn) (52) 

T 7 =g W2 h W3 (modn) (53) 

5 

II faut aussi a l'etape 33 choisir aleatoirement des nombres T5, rg, r 7 appartenant 
a 1' ensemble +{0, l}^ 2 ^ et des nombres r 8 et r 9 appartenant a 1'ensemble ±{0, 
l} s(ri+2lp+lcfl) , puis calculer a l'etape 34 les nombres suivants : 

d6 = g ri h r5 ( mo dn) (54) 

10 d7 = g r6 h r7 (modn) (55) 

d5 = T 6 ri /h r8 ( m0 dn) (56) 

d 9 = T 7 r V(g r 8h^)( m odn) (57) 

Le nombre c inclut alors les 61ements suivants : 
15 c = /TCmPsllgllhllaollalT, ||T 2 |lT3||T4nTsBT 6 ||T 7 ||d l ||d 2 ||d3][d4t|d5Bd 6 [|d 7 0d«l|d 9 pvi) (58) 

II faut encore calculer a P6tape 35 : 

s 5 = r 5 -cw 1 (59) 

s 6 = r 6 -cw 2 (60) 

20 s 7 = r 7 - cw 3 (61) 

58 = r8-ceiW 2 (62) 

59 = r9-ceiW 3 (63) " : 

La signature est alors constitute de 1'ensemble de nombres suivants : 

25 ( c > si> s 2 , s 3 , s 4 , s 5 , s 6 , s 7 , s 8 , s 9 , T ls T 2 , T 3 , T 4; T s , T 6 , T 7 ). (64) 

La procedure 40 de verification d'une signature comprend alors en outre le 
calcul des nombres suivants a l'etape 41 : 

30 t 6 =T|g S, ^ 2 Vxmodn) (65) 

t 7 =T 7 g S6 h s? (modn) (66) 

tg =u° T 6 ° g Sl ~° 2 ' /h S8 (modn) (67) 

tp =T* l ~* 2n /(gV 9 )(modn) (68) 

c' = J^m|b|g|h|a^ . (69) 




La signature est authentique si les conditions supplementaires suivantes sont 



verifiees a Fetape 42 : 

s 5 e±{0,l}* 2l P +k)+1 , (70) 

5 s 6 G±{0 5 l} £(2l P +k)+l ? (71) 

s 7 e±{0 3 l} e(2l P +k)+J , (72) 

s 8 e ±{0, i}*i + V™>« et (73) 

s 9 e±{0, l} e(Y1+21 P +k+1)+ \ (74) 



10 II est a noter que contrairement a la signature de groupe decrite dans le 
document [1], il n'est pas possible pour Fautorite de confiance de retrouver 
Fidentite d'un signataire, c'est-a-dire le nombre A,- du certificat du signataire a 
partir d'une signature de liste telle que decrite. En effet, contrairement au 
precede decrit dans ce document, Fautorite de confiance n' utilise pas une cle 

1 5 priv^e x pour g6n6rer le parametre b, et done le nombre Ai ne peut pas Stre 
deduitdeTi etT 2 . 

En outre, la signature generee par un membre r6voque U k sera d6tectee invalide. 
En effet, le parametre T 6 fait intervenir le parametre u k qui a ete determine a 
20 partir du parametre commun u, et le parametre t s qui est calcule pour verifier la 
signature fait intervenir 6galement le parametre u qui a ete modifie a la suite de 
la revocation du membre k. H en resulte que, lors de la verification de signature, 
les parametres T 6 et t s sont incoherents, et done que Fegalite entre c et c' ne 
peut pas etre verifiee par la signature du membre k. 

25 

Le procede de signature de liste qui vient d'etre decrit peut etre applique k un 
precede de vote electronique. Le procede de vote electronique selon Finvention 
comprend plusieurs phases dont Fexecution des procedures du procede de 
signature de liste decrit ci-avant. 

30 

Ce procede implique F intervention d'une autorite de confiance 1 organisatrice 
des elections qui execute a cet effet une procedure 50 d' organisation du scrutin. 
Cette procedure consiste a generer les donnees necessaires au boji deroulement 
des elections, une base de donnees publique accessible a tous dans laquelle sont 
35 recueillis les bulletins de vote. Au cours de F organisation du scrutin, on designe 
egalement des semtateurs qui vont depouiller les votes et determiner le resultat 
de Felection. 
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L'autorite organisatrice procede tout d'abord a la generation des differents 
parametres necessaires a la mise en place d'une signature de liste, en executant 
la procedure 10 d' organisation d'une signature de liste. Les electeurs doivent 
ensuite pr6alablement s'inscrire, par exeinple dans une mairie, sur une liste 
5 electorate de maniere a recevoir toutes les donates necessaires, a savoir une cle 
privee Xi et un certificat (A b e b uO, pour generer une signature de liste. A l'aide 
de ces parametres, les electeurs peuvent participer k toutes les elections futures. 
Cette procedure description peut par exemple 6tre executee entre une carte a 
puce 7 et un terminal 2, la carte a puce memorisant a la fin de la procedure le 
1 0 certificat de Telecteur. 

Avant une election, l'autorite organisatrice procede a la mise a jour des listes 
electorates en executant la procedure 20, 20' pour les electeurs nouvellement 
inscrits, et en enlevant (revoquant) les droits de signature de liste a toutes les 

15 personnes ray6es des registres electoraux (par exemple les personnes ayant 
quitte la circonscription bu dechues de leurs droits civiques). Ces revocations 
sont realisees en executant la procedure de revocation d6crite ci-avant. A Petape 
51 de la procedure 50, l'autorite organisatrice publie egalement un num6ro de 
sequence m necessaire a la mise en place d'une nouvelle sequence de signature^ 

20 de liste, de maniere a empecher les electeurs de voter (signer) deux fois k cette 
election. v 

Par ailleurs, les scrutateurs vont creer 52 les paires de cles publiques/privees 
necessaires, de telle sorte qu'ils doivent tous cooperer pour pouvoir dechirrrer 
25 un message chiffr6 avec la cle publique. A cet effet, le systeme cryptographique 
mis en place est choisi de maniere a permettre a un 61ecteur de cbiffrer un 
message (bulletin de vote) a l'aide d'au moins une cle publique, tout en 
imposant la cooperation de tous les scrutateurs pour utiliser la ou les cles 
privees correspondantes, et ainsi dechiffrer le message. 

30 

Le partage de la cle privee de d6chifrrement entre tous les scrutateurs peut etre 
effectue de la maniere suivante. 



On considere g un g6nerateur du groupe cyclique G. Une cle priv6e x { 

35 respective est attribuee a chaque scrutateur i qui calcule le nombre y { 
appartenant a G tel que : 

Yi = g Xi (75) 
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La cle publique Y a utiliser par les 61ecteurs est obterme par la formule 
suivante : 

Y=n-yi (76) 

i 

et la cle privee X correspondante partagee par tous les scrutateurs i est la 
5 suivante : 

X=5>i (77) 



On peut arriver a un resultat analogue en proc6dant a un chiffrement en utilisant 
toutes les cles publiques respectives des scrutateurs. Le dechifirement 
1 0 necessitant la connaissance de toutes les cles priv£es correspondantes, 

Avant d'aller voter, chaque electeur doit mettre a jour son certificat de signature 
de liste conformement a la procedure de modification decrite ci-avant, a Paide 
des parametres publics precSdemment Si P electeur n'est pas radi6 des listes 
1 5 electorates, cette modification peut etre effectuee. 

Pendant Pouverture des bureaux de vote, chaque electeur emet un bulletin de 
vote en executant sur un terminal une procedure 60. A Petape 61, P electeur 
selectionne son vote Vi et chiffre celui-ci a Paide de la cle publique des 
20 scrutateurs pour obtenir un vote chiffre Dj. Puis il signe le vote chiffre a Paide 
du precede de signature de liste pour obtenir une signature Si. Le bulletin de 
vote constitue de Pensemble (Di, SO du vote et de la signature, est ensuite 
publie de maniere anonyme dans une base de donnees publique 4. 

25 A Petape 62, le chiffrement du vote est realise en utilisant un algorithme de 
chiffrement probabiliste (c'est-a-dire que la probability que deux chiffrements 
d'un meme message soient identiques est quasiment nulle), tel que par exemple 
Palgorithme de El Gamal ou de Paillier. Si on applique Palgorithme de El 
Gamal, le chiffrement est effectue en calculant les nombres suivants : 

30 aj^VjY'etbj^g' (78) 

dans lesquels r est un element aleatoire. Le vote Vj chiffre est alors constitue par 
le couple Dj = (a J? bj). L ? electeur Ej calcule 63 ensuite la signature de liste du 
vote chiffre Sj = Sign ste (aj(|bj), Sig, iste etant la signature de liste telle que decrite 
ci-avant, en executant la procedure 30 par sa carte a puce 7, laquelle est 

35 transmise au terminal 2. 

L'electeur Ej a ainsi genere son bulletin de vote (Dj, Sj) qu'il envoie 64 a la base 
de donnees publique 4 au moyen d'un canal de transmission anonyme, c'est-a- 
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dire interdisant de relier un message transmis a l'emetteur de celui-ci. 
L'electeur peut a cet effet utiliser un terminal public ou un reseau de 
melangeurs. 

5 A la fin du scrutin, les scrutateurs effectuent le d6pouillement du scrutin en 
executant la procedure 70 sur le terminal 3. Cette procedure consiste tout 
d'abord a generer 71 la cle privee de dectofn-ement X a partir de leurs cles 
privees respectives xj et a l'aide de la formule (77). Puis, a l'etape 72, ils 
accident a la base de donnees publique 4 des bulletins de vote pour obtenir les 

1 0 bulletins de vote (D i} S 4 ) et pour les dechiffrer. 

Le dechiffrement proprement dit des bulletins de vote consiste pour chaque 
bulletin de vote emis (etape 73) a verifier 74 la signature Si en executant la 
procedure 40 de verification de signature de liste decrite ci-avant, et si la 
signature est valable et unique (etape 75), a d6chififrer 76 le vote chiffre Dj en 

1 5 appliquant la formule suivante : 

Les votes Vj ainsi dechiffres et verifies, avec le r6sultat de la verification 
correspondante sont introduits 77 dans la base de donnees 4 des bulletins det 
20 vote, en association avec le bulletin de vote (Dj, Sj). 

La cle privee de dechiffrement X est egalement publiee pour permettre a tous de-; 
verifier le depouillement des bulletins de vote. 

Une fois que tous les bulletins de vote ont 6t6 depouilles, cette procedure 70 
25 calcule a l'6tape 78 le resultat de l'election et met a jour la base de donnees 
publique des bulletins de vote en y inscrivant ce resultat, et eventuellement la 
cl6 privee de dechiffrement X. 

II est aise de constater que les proprietes enonc6es ci-avant, ndcessaires a la 
30 mise en place d'un systeme de vote electronique, sont verifiees par le procede 
decrit ci-dessus. En effet, chaque electeur ne peut voter qu'une seule fois 
puisqu'il est facile de retrouver dans la base de donnees deux signatures emises 
par un meme electeur pour un meme scrutin (pour un rneme numero de 
sequence). Dans ce cas, les scrutateurs peuvent ne pas prendre en compte les 
35 deux votes ou ne comptabiliser qu'un seul vote s'ils sont identiques. 

Alternativement, on peut pr6voir qu'a l'etape 64 d'insertion d'un vote dans la 
base de donnees 4, on verifle que le vote emis par l'electeur ne figure pas deja 
dans la base de donnees en y recherchant le parametre T 4 propre a l'electeur. Si 
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on detecte ainsi que l'electeur a deja vote pour ce scrutin, le nouveau vote n'est 
pas insere dans la base de donnees 4. 

Ensuite, il n'est pas possible de commencer a depouiller les bulletins de vote 
5 avant la fin du scrutin si au moins un des scrutateurs respecte la regie, puisqu'il 
faut la presence de tous les scrutateurs pour depouiller un bulletin de vote. 
Enfin, le resultat de l'election est verifiable par tous puisque les scrutateurs 
fournissent dans la base de donnees tous les elements necessaires (en particulier 
la cle privee de depouillement) pour proceder a une telle verification, et que la 
10 verification d'une signature est accessible a tous en utilisant la cl6 publique 
PK=(n, a, ao, b, g, h, u) de l'autorite de confiance. Ainsi n'importe qui peut 
effectuer le depouillement de la mdme maniere que les scrutateurs et done 
s'assurer qu'il a ete effectue de maniere correcte. 

15 Les cles des scrutateurs sont bien entendu obsoletes a la fin du scrutin, 
puisqu'elles sont publiees. 



-21- 



REVENDICATIONS 

1 . Procede de signature de liste comprenant au moins : 

- une phase d' organisation (10) consistant pour une autorite de confiance (1) a 
5 d6finir des parametres de mise en ceuvre d'une signature electronique 

anonyme, dont une cle privee et une cle publique correspondante, 

- une phase d'enregistrement (20, 20') de personnes dans une liste de membres 
autorises a g6n6rer une signature electronique propre aux membres de la 
liste, au cours de laquelle chaque personne (2) a enregistrer calcule (24) une 

1 0 cl6 privee (x } ) a l'aide de parametres fournis par l'autorit6 de confiance et de 
parametres choisis aleatoirementpar la personne a enregistrer, et l'autorite de 
confiance delivre (25') a chaque personne a enregistrer un certificat ([Aj, ej]) 
de membre de la liste, 

- une phase de signature (30) au cours de laquelle un membre de la liste genere 
15 (35) et emet (36) une signature propre aux membres de la liste, cette 

signature etant construite de maniere a contenir une preuve que le membre de 
la liste ayant emis la signature, connait un certificat ([Ai, e{\) de membre de 
la liste, et 

- une phase de verification (40) de la signature emise comprenant des etapes 
20 (41, 42) d' application d'un algorithme pred6fini pour mettre en evidence la 

preuve que la signature a ete emise par une personne en possession d'un 

certificat de membre de la liste, 
caracteris6 en ce qu'il comprend en outre une phase de definition d'une 
sequence consistant pour l'autorit6 de confiance (1) a gen6rer un numero de 
25 sequence (m) a utiliser dans la phase de signature (30), une signature (Sigi ist e) 
g6neree durant la phase de signature comprenant un element de signature (T 4 ) 
qui est commun a toutes les signatures emises par un meme membre de la liste 
avec un meme numero de sequence et qui contient une preuve que le numero de 
sequence (m) a ete utilise pour generer la signature, la phase de verification (40) 
30 comprenant en outre une etape de verification (43) de la preuve que le numero 
de sequence (m) a ete utilise pour generer la signature. 

2. Procede selon la revendication 1, 
caracterise en ce que la phase d'organisation (10) comprend la definition d'un 
35 parametre commun (u) dependant de la composition de la liste, la phase 
d'enregistrement (20, 20') d'une personne dans la liste comprenant la definition 
d'un parametre (uO propre a la personne a enregistrer qui est calcule en fonction 
du parametre (u ) dependant de la composition de la liste et qui est integre au 
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certificat ([A;, e h u,]) remis a la personne, la phase d'enregistrement (20, 20') 
comprenant une etape de mise a jour du parametre commun (u) dependant de la 
composition de la liste, le procede comprenant en outre une phase de revocation 
pour retirer un membre de la liste, consistant a modifier ie parametre commun 
(u) dependant de la composition de la liste, pour tenir compte du retrait du 
membre de la liste, et une phase de mise a jour des certificats des membres de la 
liste pour tenir compte de modifications de la composition de la liste. 

3. Procede selon la revendication 1 ou 2, 
caracterise en ce qu'une signature propre a un membre de la liste et possedant le 
certificat [A,-, ej comprend des parametres T,, T 2 , T 3 tels que : 
T^A^Cmodn), 
T 2 = g* 4 (mod n), 
T 3 = g% fi, (modn), 

15 a> etant un nombre choisi aleatoirement lors de la phase de signature (30), et b, 
g, h et n etant des parametres g&ieraux de mise en ceuvre de la signature de 
groupe, tels que les parametres b, g et h ne peuvent pas se deduire les uns des 
autres par des fonctions d'elevation de puissance entiere modulo n, de sorte que 
le nombre A i5 et done l'identite du membre de la liste possedant le certificat [A s , 

20 ejnepeut passe deduire d'une signatm-e emise par le membre. 

4. Proc6d6 selon Tune des revendications 1 a 3, 

caracterise en ce que le numero (m) d'une sequence utilise pour generer une 
^ signature de liste est calcule en fonction d'une date de d6but de sequence. 

5. Procede selon la revendication 4, 

caracterise en ce que la fonction de calcul du numero d'une sequence est de la 
forme : 

F(d) = (tf(d)) 2 (modn) 
30 dans laquelle H est une fonction de hachage resistante aux collisions, d est la 
date de debut de la sequence, et n est un parametre general de mise en ceuvre de 
la signature de groupe. 

6. Procede selon Tune des revendications 1 a 5, 

35 caracterise en ce qu'une signature (Sig Iis(e ) emise par un membre de la liste 
contienl un parametre (T 4 ) qui est calcule en fonction du numero de sequence et 
de la cle privee (x,) du membre signataire. 
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7. Procede selon la revendication 6, 
caracterise en ce que le pararnetre T 4 d'une signature emise par un membre de 
la liste et dependant du numero de sequence m et de la cle privee Xj du membre 
signataire est obtenu par la formule suivante : 
5 T 4 = m Xl (mod n) 

n 6tant un pararnetre general de mise en oeuvre de la signature de groupe, et en 
ce que la signature comprend la preuve que le pararnetre T 4 a ete calcule avec la 
cle privee Xj du membre de la liste qui a emis la signature. 

10 8. Procede de vote electronique comprenant une phase 

d'organisation (50) des elections, au cours de laquelle une autorite organisatrice 
procede a la generation de parametres necessaires a un scrutin, et attribue a des 
scrutateurs des cles leur permettant de dechiffrer et verifier des bulletins de 
vote, une phase d' attribution d'un droit de signature a chacun des electeurs, une 

1 5 phase de vote (60) au cours de laquelle les electeurs signent un bulletin de vote, 
et une phase de depouillement (70) au cours de laquelle les scrutateurs verifient 
les bulletins de vote, et calculent le resultat du scrutin en fonction du contenu 
des bulletins de vote dechiffr£s et valides, 

caracterise en ce qu 5 il met en oeuvre un procede de signature de liste selon Tune 
20 des revendications 1 & 7, pour signer les bulletins de vote, chaque electeur etant 
enregistre comme membre d'une liste ? et un numero de sequence (m) etant 
g^nere pour le scrutin, pour detecter si un meme electeur a 6mis ou non 
plusieurs bulletins de vote pour le scrutin. ; 

25 9. Procede selon la revendication 8, 

caracterise en ce que la phase d'organisation (50) comprend la remise a chaque 
scrutateur d'une cle publique et d'une cle privee, en ce que les bulletins de vote 
(vO sont chiffres (62) a l'aide d'une cl6 publique (Y) obtenue par le produit des 
cles publiques (yO respectives de tous les scrutateurs, et en ce que la cle privee 

30 (X) de dechiffrement correspondante est obtenue en calculant la somme de cles 
privees (xO respectives de tous les scrutateurs. 

10. Procede selon la revendication 9, 

caracterise en ce que le chiffrement (62) des bulletins de vote est effectue a 
35 F aide d'un algorithme de chiffrement probabiliste. 

11. Procede selon Tune des revendications 8 a 10, 

caracterise en ce que les bulletins de vote emis par les electeurs sont stockes 
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dans une base de doiroees publique (4), en ce que le resultat de la verification et 
du depouillement de chaque bulletin de vote est stocke dans la base de donnees 
en association avec le bulletin de vote, et en ce que la cle priv6e (X) de 
dechiffrement des bulletins de vote est publiee 
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